Загальна інформація про профілі керування пристроями
Служба керування пристроями дає змогу адміністратору безпечно й віддалено конфігурувати пристрої, надсилаючи на них конфігурації, профілі й команди, незалежно від того, чи пристрій належить користувачу, чи вашій організації. До можливостей належать зокрема оновлення параметрів пристрою, контроль за дотриманням правил організації та віддалене стирання й замикання пристроїв. Користувачі можуть реєструвати свої власні пристрої в службі керування пристроями, а організації можуть автоматично реєструвати пристрої, які їм належать, використовуючи Apple School Manager або Apple Business Manager.
Щоб розуміти, як працює служба керування пристроями, потрібно ознайомитися з деякими поняттями. Прочитайте наступні розділи, щоб дізнатися, як служба керування пристроями використовує профілі реєстрації й конфігурації, нагляд і набори даних.
Підтримувані пристрої Apple
Ці пристрої Apple мають вбудовану бібліотеку, яка підтримує керування пристроями:
iPhone з iOS 4 або новішої версії
iPad з iOS 4.3 або новішою чи iPadOS 13.1 або новішою
Комп’ютери Mac з OS X 10.7 або новішою
Apple TV з tvOS 9 або новішою
Apple Watch з watchOS 10 або новішою
Apple Vision Pro з visionOS 1.1 або новішою
Як пристрої реєструються
Реєстрація в службі керування пристроями передбачає реєстрацію ідентифікаторів клієнтських сертифікатів за допомогою протоколів на зразок Automated Certificate Management Environment (ACME) або Simple Certificate Enrollment Protocol (SCEP). Пристрої використовують ці протоколи для створення унікальних сертифікатів посвідчень для автентифікації сервісів організації.
Якщо реєстрація не автоматизована, здебільшого користувачі вирішують, чи реєструвати свої пристрої, і можуть в будь-який момент відв’язати свій пристрій від служби. Тому слід подумати про спонукання користувачів залишати свої пристрої керованими. Наприклад, можна вимагати реєстрації для підключення до мережі Wi-Fi, автоматично надаючи ідентифікаційні дані для доступу через службу керування пристроєм. Коли користувач покидає службу, його пристрій намагається сповісти службу керування пристроями, що ним більше не можна керувати.
Пристрої, які належать вашій організації, можна автоматично реєструвати в службі керування пристроями за допомогою Apple School Manager або Apple Business Manager під час початкового налаштування та вести за ними нагляд бездротовим чином. Цей процес реєстрації має назву «Автоматизована реєстрація пристрою».
Керування пристроями і Захист украденого пристрою
Коли ввімкнено функцію «Захист вкраденого пристрою», і якщо користувач перебуває в незнайомому місці, операційна система затримує наведені нижче дії на годину:
Реєстрування пристрою у службі керування пристроями вручну
Інсталювання конфігурації або профілю коду допуску вручну
Конфігурування облікового запису Microsoft Exchange у Параметрах або за допомогою профілю чи конфігурації
Профілі реєстрації
Профіль реєстрації — це один із двох основних способів, за допомогою яких користувачі можуть зареєструвати особистий пристрій у службі керування пристроями (інший спосіб — через реєстрацію користувача або реєстрацію пристрою за обліковим записом). За допомогою цього профілю, який містить набір даних, служба керування пристроями надсилає на пристрій команди та, за необхідності, додаткові профілі конфігурації. Воно також може запитувати в пристрою інформацію, як-от статус блокування активації, рівень заряду акумулятора та ім’я.
Коли користувач вилучає профіль реєстрації, усі профілі конфігурації, їх параметри та керовані програми на основі профілю реєстрації вилучаються разом із ним. Одночасно на пристрої може бути лише один профіль реєстрації.
Коли профіль реєстрації буде схвалено пристроєм чи користувачем, на пристрій буде передано профілі конфігурації з наборами даних. Після цього можна через бездротову мережу розповсюджувати й конфігурувати програми та книги, придбані через Apple School Manager або Apple Business Manager, а також керувати ними. Користувачі можуть самостійно інсталювати програми або ж програми можуть інсталюватися автоматично залежно від типу програми, способу її призначення та наявності нагляду за пристроєм. Докладну інформацію наведено в статті Про нагляд за пристроями Apple.
Профілі конфігурації
Профіль конфігурації — це XML-файл (назва закінчується на .mobileconfig), який складається з наборів даних, що завантажують параметри та авторизаційну інформацію на пристрої Apple. Профілі конфігурації автоматизують конфігурацію параметрів, облікових записів, обмежень та ідентифікаційних даних. Ці файли можна створити за допомогою служби керування пристроями або вручну або за допомогою Apple Configurator для Mac. Більше інформації про використання Apple Configurator для Mac для створення та інсталювання профілів конфігурації на iPhone, iPad і Apple TV наведено в статті Створення та редагування профілів конфігурації в посібнику користувача Apple Configurator для Mac.
Оскільки профілі конфігурації можна зашифрувати та підписати, ви можете обмежити їх використання окремими пристроями Apple і не дозволяти іншим змінювати їх параметри (окрім імен користувача та паролів). Ви також можете позначити профіль конфігурації як замкнений на пристрої.
Якщо ваша служба керування пристроями підтримує ці варіанти, ви можете поширювати профілі конфігурації як вкладення пошти, через посилання на власній вебсторінці або через вбудований користувацький портал служби. Коли користувачі відкриватимуть вкладення пошти або викачуватимуть профіль конфігурації за допомогою веббраузера, їм пропонуватиметься почати інсталювання профілю конфігурації.
Ви можете доставляти профіль конфігурації, який здатен змінювати параметри всього пристрою або лише для одного користувача.
Профілі пристроїв. Ви можете надсилати профілі пристроїв на пристрої та на групи пристроїв і застосовувати параметри до всього пристрою.
Пристрої iPhone, iPad, Apple TV, Apple Watch і Apple Vision Pro не можуть розпізнавати більше одного користувача, тому профілі конфігурації, створені для підтримуваних пристроїв Apple завжди є профілями пристрою. Хоча профілі iPadOS є профілями пристрою, пристрої iPad, налаштовані для функції «Спільний iPad», можуть підтримувати профілі на основі пристрою чи користувача.
Користувацькі профілі. Ви можете надсилати профілі користувачів користувачам і (якщо служба керування пристроями підтримує їх) групам користувачів і застосовувати параметри лише до відповідних користувачів. Компʼютери Mac можуть мати декілька користувачів, тому набори даних і параметри для профілів macOS можуть призначатися або пристроям, або користувачам. Обліковий запис користувача, створений Асистентом налаштування, розглядається як такий, що є керованим службою керування пристроями і може отримувати профілі. Натомість, на Mac із macOS 11 або новіших обліковий запис адміністратора, створений службою керування пристроями під час реєстрації, може бути керованим. Для розгортань, прив’язаних до Active Directory, користувач, який в даний момент знаходиться в мережі, стає керованим.
Параметри пристрою та користувача можуть різнитися залежно від місця розташування: параметри, інстальовані на рівні системи, перебувають у каналі пристрою, тоді як параметри, інстальовані для користувача, перебувають у каналі користувача.
Додаткову інформацію про інсталювання профілів і режим карантину дивіться в статті служби безпеки Apple Про режим карантину.
Вилучення профілю
Спосіб вилучення профілів залежить від способу їх інсталювання. Нижче наведено послідовність дій для вилучення профілю:
1. Можна вилучити всі профілі, стерши всі дані на пристрої.
2. Якщо пристрій зареєстровано в службі керування пристроями, повʼязаній із Apple School Manager або Apple Business Manager, адміністратор може обрати, чи може користувач вилучати профіль реєстрації, чи лише служба керування пристроями.
3. Якщо профіль інстальовано службою керування пристроями, його можна вилучити цією службою або користувач може вилучити його, скасувавши реєстрацію в цій службі (вилучивши конфігураційний профіль реєстрації).
4. Якщо профіль інстальовано за допомогою Apple Configurator, примірник Apple Configurator, яким здійснюється нагляд, може вилучати профіль.
5. Якщо Apple Configurator інсталює профіль або ви інсталюєте його вручну на пристрої під наглядом і профіль містить набір корисних даних пароля вилучення, користувачу потрібно ввести пароль вилучення, щоб вилучити профіль.
6. Користувач може вилучити усі інші профілі.
Обліковий запис, інстальований за допомогою профілю конфігурації, можна вилучити шляхом видалення профілю. Обліковий запис Microsoft Exchange ActiveSync, зокрема інстальований за допомогою профілю конфігурації, може вилучити сервер Microsoft Exchange Server запуском команди віддаленого стирання тільки облікового запису.
Важливо! Якщо користувачі знатимуть код допуску до пристрою, вони зможуть вилучати інстальовані вручну профілі конфігурації з iPhone та iPad, які не є під наглядом, навіть якщо для опції вибрано значення «Never» (Ніколи). Користувачі Mac можуть зробити те саме тільки за умови, що їм відомі ім’я користувача-адміністратора та його пароль. Вони можуть зробити це за допомогою інструмента командного рядка profiles, Системних параметрів (у macOS 13 або новішій), або Параметрів системи (у macOS 12.0.1 або старішій). Для Mac із macOS 10.15 або новіших, як і в iOS та iPadOS, якщо служба керування пристроями інсталює профіль, його можна вилучити за допомогою цієї служби, або операційна система вилучить його автоматично після скасування реєстрації в цій службі.
Вимоги щодо зв’язку служби керування пристроями
Зв’язок служби керування пристроями з пристроями Apple буде успішнішим, якщо:
Служба керування пристроями налаштовує пристрій, успішно його перевіряє та забезпечує його правильну роботу
Сертифікат APN дійсний і не прострочений
Пристрій увімкнено
Пристрій зареєстровано в службі
Мережа, до якої під’єднано пристрій, має доступ до інтернету (для зв’язку через APN)
Мережа, до якої під’єднано пристрій, повинна мати можливість доступу до хостів Apple, пов’язаних зі службою керування пристроями
Докладну інформацію наведено в статті Служби підтримки Apple Використання продуктів Apple у корпоративних мережах.
Примітка. Apple не керує службами керування пристроями сторонніх виробників. Додаткові проблеми, як-от неправильно конфігурований набір даних, теж можуть бути причиною відсутності зв’язку.